ピーク時には数十万台のMacに影響を与えたトロイの木馬「Flashback」は、OS X史上最大の攻撃の一つでした。しかし今、記者のブライアン・クレブス氏が独自の調査を行い、作成者を突き止めることに成功したようです。
すべての手がかりは、モルドヴィア共和国サランスク出身の30歳のロシア人、マクシム・セリハノビッチを指し示しています。クレブス氏の素晴らしい記事では、犯人を突き止めるまでの全過程が詳細に記述されており、まさに法医学捜査の手本となるものです。
クレブス:
FlashbackがGoogleの広告ネットワークを巧妙に操作することに重点を置いていることから、このワームの作者は、いわゆる「ブラックハットSEO」(検索エンジン最適化)に特化したフォーラムの主要メンバーか、検索エンジンを巧妙に操作して広告収入を操作する方法を不正な方法で習得したのではないかと考えました。ところが、案の定、この人物は BlackSEO.comという、このテーマに特化した厳重に管理されたロシア語フォーラムの創設メンバーであり、非常に活発に活動しています。
BlackSEO.comのMavookのプロフィールページを詳しく見てみると、彼は2005年からBlackSEOに登録している長年の会員であることがわかります。当時、彼は数千人中24番目でした。Mavookのプロフィールには、彼の個人ホームページがかつて mavook.comだったことも示されています。 mavook.comのWHOIS登録記録は、商用WHOISプライバシー保護サービスによって長い間隠されていましたが、domaintools.comが維持している不可欠な歴史的WHOISサービスを使用して、このドメインの元のWHOIS記録を見つけました。それらの記録によると、このドメインはもともと2005年に ロシア東ヨーロッパ平原の東部にある共和国、モルドヴィアの首都サランスクでMaxim Selikhanovichによって登録されました。
最後の手がかりは、おそらく最も興味深い詳細を提供している。[email protected] アドレスは、サランスクにある mak-rm.comという企業の連絡先記録であり、ドメイン名はサランスクにある IT アウトソーシングおよび Web デザイン会社 Mordovia Outsourcing Companyに登録されている (名前の「mak」の部分は、会社名のロシア語版「М ОРДОВСКАЯ А УТСОРСИНГОВАЯ К ОМПАНИЯ」に由来する)。そのドメインはサランスクの「Max D. Sell」に登録されている(インターネット アーカイブにある 2010 年の mak-rm.com ホームページのキャッシュ画像を参照)。
ロシアの国民や法人の税務情報を調べることができる信頼できる情報筋によると、モルドヴィア・アウトソーシング社は、モルドヴィアの サランスク出身の30歳のマキシム・ドミトリエヴィッチ・セリハノヴィッチ氏によって登録され、設立されたという。
ロシアの、ロード・オブ・ザ・リングの舞台にふさわしいような地域で、一人のロシア人がコンピューターの前に座って、あれだけのことを成し遂げられるなんて、本当に驚きです。読み応えのある記事なので、ぜひ全文をお読みください。
